Spring security--jwt身份验证

最新推荐文章于 2023-04-24 09:44:37 发布
最新推荐文章于 2023-04-24 09:44:37 发布
阅读量349 收藏
点赞数
文章标签: java 数据库
原文链接:https://my.oschina.net/zyldsy/blog/3077258
版权

项目背景:项目由springboot构建,通过jwt进行认证和授权,这是无连接、无状态的。要实现用户唯一性,无法通过session等其他入手。

前期分析:

认证这里是通过fliter获取请求中的token

public class JWTFilter extends GenericFilterBean {

    public static final String AUTHORIZATION_HEADER = "Authorization";

    private TokenProvider tokenProvider;

    public JWTFilter(TokenProvider tokenProvider) {
        this.tokenProvider = tokenProvider;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
        throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String jwt = resolveToken(httpServletRequest);
        if (StringUtils.hasText(jwt) && this.tokenProvider.validateToken(jwt)) {
            Authentication authentication = this.tokenProvider.getAuthentication(jwt);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }

    private String resolveToken(HttpServletRequest request){
        String bearerToken = request.getHeader(AUTHORIZATION_HEADER);
        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }
}

随后tokenProvider.validateToken(jwt)这里对token解析,也只是通过简单的验证,看通过密钥能不能正常解析出,解析不出或者异常即验证不通过

public boolean validateToken(String authToken) {
    try {
        Jwts.parser().setSigningKey(key).parseClaimsJws(authToken);
        return true;
    } catch (io.jsonwebtoken.security.SecurityException | MalformedJwtException e) {
        log.info("Invalid JWT signature.");
        log.trace("Invalid JWT signature trace: {}", e);
    } catch (ExpiredJwtException e) {
        log.info("Expired JWT token.");
        log.trace("Expired JWT token trace: {}", e);
    } catch (UnsupportedJwtException e) {
        log.info("Unsupported JWT token.");
        log.trace("Unsupported JWT token trace: {}", e);
    } catch (IllegalArgumentException e) {
        log.info("JWT token compact of handler are invalid.");
        log.trace("JWT token compact of handler are invalid trace: {}", e);
    }
    return false;
}

这里要实现用户唯一,要做到两点:

1、对用户登录后的token需要持久化(redis或者直接入库)。

2、在验证时,我你们需要解析token,获取用户信息,并于存储的token比对,一致则通过,否则限制访问。

实现:

这里预期实现,A用户在地点1登录,并不退出。随后A用户在地点2登录。如果地点1再有任何操作,回限制访问,并返回登陆页面。

首先改写dofliter,在这里,我们需要获取到token,并去除掉登录的接口,不然发现这个用户已经登陆过,在地点2的登陆请求会被拦截。

a01423a6da780d6ecd49713dfe0fca4b3d9.jpg

随后根据解析出的用户信息,从存储中获取登录时记录的token进行校验。这里获取用户信息,我也是和上面解析token的校验一样,通过密钥解析token。

private boolean isOtherLogin(String jwt){
    boolean result = false;
    //判断当前用户是否 已在异地登陆
    String username = this.tokenProvider.getUserName(jwt);
    if(username!=null&&!"".equals(username)){
        log.info("username of isOtherLogin:{}",username);
        List<PersistentToken> persistentTokenList = persistentTokenService.findByUserAgentOrderByTokenDateDesc(username);
        if(persistentTokenList!=null&&persistentTokenList.size()>0){
            String user_token = persistentTokenList.get(0).getTokenValue();
            if(!jwt.equals(user_token)){
                result = true;
            }
        }
    }
    log.info("result of isOtherLogin:{}",result);
    return result;
}

转载于:https://my.oschina.net/zyldsy/blog/3077258

chuqian1510
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Spring Boot和Spring Security进行身份验证-JWT和Postgres
qq_41806546的博客
04-23 268
访问此链接:https://mp.weixin.qq.com/s?__biz=MzI5MDM1NzY4OA==&mid=2247484078&idx=3&sn=54e8397086278c69e24a439b8d898cfe&chksm=ec206a79db57e36f2aa477bf1d137cf38b2f5c025780c90189049b06137d4cf7f...
Spring Security + JWT 实现认证和授权
修理男爵的博客
11-10 1910
数据库Spring Security JWT JwtToken @Data public class JwtToken { private String token; private String username; private Long expireTime; } JwtTokenProvider @Slf4j @Component public class JwtTokenProvider { public JwtToken cre..
Spring Boot + Security + JWT 实现Token验证+多Provider——登录系统
weixin_30252155的博客
06-05 570
首先呢就是需求: 1、账号、密码进行第一次登录,获得token,之后的每次请求都在请求头里加上这个token就不用带账号、密码或是session了。 2、用户有两种类型,具体表现在数据库中存用户信息时是分开两张表进行存储的。 为什么会分开存两张表呢,这个设计的时候是先设计的表结构,有分开的必要所以就分开存了,也没有想过之后Security 这块需要进行一些修改,但是分开存就分开存吧,Secu...
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3293
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
JWT 进阶 -- JJWT
热门推荐
小浩子的博客
07-28 4万+
jwt是什么?JWTs是JSON对象的编码表示。JSON对象由零或多个名称/值对组成,其中名称为字符串,值为任意JSON值。JWT有助于在clear(例如在URL中)发送这样的信息,可以被信任为不可读(即加密的)、不可修改的(即签名)和URL - safe(即Base64编码的)。jwt的组成 Header: 标题包含了令牌的元数据,并且在最小包含签名和/或加密算法的类型 Claims: Claim
spring-security-jwt-demo.zip
11-19
- 安全配置:定义Spring Security的配置,包括哪些URL需要保护,以及如何进行身份验证和授权。 5. 实战步骤: - 创建Spring Boot项目并引入Spring SecurityJWT相关依赖。 - 配置Spring Security,开启JWT支持...
spring-boot-jwt:使用Spring Boot,Spring Security和MySQL的JWT身份验证服务
01-29
Spring Boot JWT叠放 您可以找到与此存储库相关的帖子。请通过 :white_medium_star: 如果您觉得有用! :smiling_face_with_smiling_eyes:档案结构spring-boot-jwt/ │ ├── src/main/java/ │ └── murraco │ ...
spring-webflux-security-jwt:使用Spring Reactive Webflux,Spring Boot 2和Spring Security 5的JWT授权和认证实现
01-30
使用JWTSpring WebFlux和Spring Security Reactive进行身份验证和授权首先阅读的好文档在开始之前,我建议您先阅读下一份参考启用S​​pring WebFlux安全性在你的应用程序首先使Webflux安全@EnableWebFluxSecurity...
spring-security-jwt-csrf:使用Spring SecuritySpring Boot和Vue js进行无状态JWT身份验证的演示
01-31
JWT Spring Boot安全性 Опроекте ЭтодемонстрацияаутентификациинаосноветокенасиспользованиемJSON网络令牌иCSRF,Spring安全,Spring启动и...
spring-security-jwt
03-12
具有JWT身份验证的Todo应用程序 技术栈:Spring Boot,Spring Data,Spring Security 工具和其他工具:H2数据库,Lombook,jjwt AuthController POST:/ register-用于注册POST:/ auth-用于用户身份验证 记录控制...
手把手教你,使用JWT实现单点登录,一起来揭开它神秘的面纱
weixin_47083537的博客
05-15 765
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案之一,今天我们一起来揭开它神秘的面纱! 一、故事起源 说起 JWT,我们先来谈一谈基于传统session认证的方案以及瓶颈。 传统session交互流程,如下图: 当浏览器向服务器发送登录请求时,验证通过之后,会将用户信息存入seesion中,然后服务器会生成一个sessionId放入cookie中,随后返回给浏览器。 当浏览器再次发送请求时,会在请求头部的cookie中放入sessionId,将请求数据一并发送给服务器。 服务器就
Spring Boot整合JWT实现用户认证
自古三楼出的博客
03-10 3万+
Spring Boot整合JWT实现用户认证 之前初学了一下Spring Boot和JWT的内容,写了几篇小文章,但是杂乱无章,就重新整理了一下自己学习的东西,尽量写的足够详细,给像我一样刚刚接触这个内容的新手一个参考。这里附上代码的Github源码地址 ,参考的文献也附在这里12 初探JWT 什么是JWT JWT(Json Web Token),是一种工具,格式为XXXX.XXXX...
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 4590
微服务Security+jwt+验证码实现认证和授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Securityjwt、验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证码接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证码
jwt安全验证
wltsysterm的博客
02-07 1298
jwt:java web token 区别于session存储安全信息,后者是将信息存储到服务器,前者是存到客户端/浏览器 jwt基础认识 可以参考这篇文章:https://www.cnblogs.com/zjutzz/p/5790180.html jwt怎么用 基于maven工程: 引入pom io.jsonwebtoken jjwt 0.
Springboot +JWT 实现(附源码)
dingdingdandang的博客
03-19 930
JWT实现登录认证环境1. 依赖1. pom导入依赖2. token生成及校验2.1 封装用户2.2 编写JWT提供者2.3 密码加密3. 登录3.1 接口编写3.2 token获取测试3.3 token校验测试4. 编写拦截器进行token校验4.1 存储授权信息4.2 配置拦截器4.3 配置拦截路径4.4 拦截测试5. 源码下载 环境 本教程使用jdk11,其他环境自行测试 1. 依赖 1. pom导入依赖 <dependency> <gr
API接口JWT方式的Token认证(上),服务器(Laravel)的实现
钟晨宇的博客
05-03 3万+
简介最近在开发一个 Android 程序,需要做用户登录和认证功能,另外服务器用的是 Laravel 框架搭建的。最终决定用 JWT 实现API接口的认证。JWT 是 Json Web Tokens 的缩写,与传统 Web 的 Cookies 或者 Session 方式的认证不同的是,JWT 是无状态的,服务器上不需要对 token 进行存储,也不需要和客户端保持连接。而 JWT 的 token 分
springsecurity前后端分离登录认证_Spring Security 真正的前后分离实现
weixin_39710361的博客
11-20 333
本文同名博客老炮说Java:https://www.laopaojava.com/,每天更新Spring/SpringMvc/SpringBoot/实战项目等文章资料Sentinel+Nacos 是微服务环境搭建必不可少的两个组件,这里给大家推荐一套微服务教程:SpringCloud微服务电商项目教程 - 老炮说Java-程序员编程资料和编程经验分享平台​www.laopaojava.com教程主...
后台api接口幂等防止数据篡改,看完发现心领神会
小杨互联网
10-19 731
什么是Api接口幂等? 简单来说Api接口幂等在有限的时间内限制接口访问请求,限制ip访问次数,不限制平台访问,都可以拿到数据。一个接口不可以重复表单提交,生产一次消费一次。 用户场景:同一时间重复提交多次请求。 什么是数据篡改? api接口数据篡改,脚本文件,篡改接口参数进行服务器数据窃取,严重的数据篡改会导致数据库宕机,程序软件崩溃。 想到这里都知道后台api接口幂等多重要了吧。今天给大家讲非对称加密实现后台接口api幂等。 实现思路:jtw+ 验证标识+签名密钥+当前时间戳+存放过期时
StringUtils.hasText(字符串)的作用
Java_PIZI的博客
09-19 2万+
StringUtils.hasText()作用   如果里面的值为null,"","   ",那么返回值为false;否则为true
spring-security-jwt 版本对照表
最新发布
09-18
它将 JWT 的认证和授权过程与 Spring Security 进行了深度集成,方便开发人员使用 JWT 进行身份验证和权限控制。 以下是 spring-security-jwt 的版本对照表: - 版本1.0.0:最初发布的版本,提供了基本的 JWT 支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值